Questa pagina fornisce dettagli su come esaminare gli avvisi sulle minacce generati da Cloud IDS.
Rivedi i dettagli dell'avviso
Puoi esaminare i seguenti campi JSON nel log degli avvisi:
threat_id: identificatore univoco delle minacce di Palo Alto Networks.name: nome della minaccia.alert_severity: gravità della minaccia. Uno dei valori traINFORMATIONAL,LOW,MEDIUM,HIGHoCRITICAL.type: tipo di minaccia.category: sottotipo di minaccia.alert_time: ora in cui è stata rilevata la minaccia.network: rete del cliente in cui è stata rilevata la minaccia.source_ip_address: indirizzo IP di origine del traffico sospetto. Se utilizzi un bilanciatore del caricoGoogle Cloud , l'indirizzo IP client effettivo non è disponibile e questo indirizzo è l'indirizzo IP del bilanciatore del carico.destination_ip_address: indirizzo IP di destinazione del traffico sospetto.source_port: porta di origine del traffico sospetto.destination_port: porta di destinazione del traffico sospetto.ip_protocol: protocollo IP del traffico sospetto.application: tipo di applicazione del traffico sospetto, ad esempio SSH.direction: direzione del traffico sospetto (dal client al server o dal server al client).session_id: un identificatore numerico interno applicato a ogni sessione.repeat_count: numero di sessioni con lo stesso IP di origine, IP di destinazione, applicazione e tipo visualizzati entro 5 secondi.uri_or_filename: URI o nome file della minaccia pertinente, se applicabile.cves: un elenco di CVE associati alla minacciadetails: informazioni aggiuntive sul tipo di minaccia, tratte dal Threat Vault di Palo Alto Networks.
Cerca nel Threat Vault di Palo Alto Networks
Segui le istruzioni riportate di seguito per cercare vulnerabilità ed esposizioni comuni (CVE), ID minaccia, nomi di minacce e categorie di minacce.
Se non ne hai già uno, crea un account nella LiveCommunity di Palo Alto Networks.
Accedi al Threat Vault di Palo Alto Networks utilizzando il tuo account.
Nel Threat Vault, cerca uno dei seguenti valori in base alle informazioni dell'avviso di minaccia:
- Uno o più
CVEnel campocves THREAT_IDnel campothreat_idTHREAT_NAMEnel camponameCATEGORYnel campocategory
- Uno o più
Verifica che lo stato della firma sia Released (Rilasciato) e non Disabled (Disabilitato).
- Se è selezionata l'opzione Disabled (Disabilitato), la firma non è più valida ed è disabilitata. Quando Cloud IDS recupera gli aggiornamenti di Palo Alto Networks, la firma smette di generare avvisi.
Se il risultato è stato attivato da un file, segui questi passaggi:
- Cerca gli hash associati alla firma sul sito web VirusTotal per determinare se qualcuno è dannoso.
- Se l'hash del file che attiva la firma è noto, confrontalo con quelli del Threat Vault. Se non corrispondono, si verifica un conflitto di firme, il che significa che il file e il campione dannoso potrebbero contenere gli stessi valori di byte negli stessi offset di byte. Se corrispondono e il file non è dannoso, si tratta di un falso positivo e puoi ignorare l'avviso di minaccia.
Se il risultato è stato attivato da una minaccia di tipo command-and-control o DNS, segui questi passaggi:
- Identifica il dominio di destinazione che ha attivato la firma sulle comunicazioni in uscita da un endpoint.
- Esamina la reputazione dei domini e degli indirizzi IP coinvolti per avere un'idea generale del potenziale livello di minaccia.
Se il traffico ha un impatto sull'attività e ritieni che non sia dannoso o se vuoi accettare il rischio, puoi aggiungere delle eccezioni alle minacce all'endpoint Cloud IDS al fine di disabilitare l'ID minaccia.
Implementa una regola Cloud Armor o una regola Cloud NGFW per bloccare il traffico dannoso utilizzando gli indirizzi IP di origine e di destinazione della connessione nel risultato.